【51CTO.com快譯】Amazon Web Services 修復了影響 AWS Glue 和 AWS CloudFormation 的兩個缺陷。

據(jù) Orca Security 稱，AWS Glue 中的漏洞可能允許攻擊者使用該服務創(chuàng)建資源，并訪問其他 AWS Glue 客戶的數(shù)據(jù)。

Orca 研究人員表示，這是由于 AWS Glue 內(nèi)部配置錯誤造成的，AWS 今天證實它已經(jīng)修復了該問題。

Glue 于 2017 年推出，是一種托管的無服務器數(shù)據(jù)集成服務，用于連接大型數(shù)據(jù)庫，允許開發(fā)人員為機器學習作業(yè)提取、轉(zhuǎn)換和加載 (ETL)。

Orca 研究人員發(fā)現(xiàn) Glue 功能可用于獲取 AWS 服務自己賬戶中某個角色的憑證，從而使攻擊者可以訪問內(nèi)部服務的應用程序編程接口 (API)。

使用這種內(nèi)部錯誤配置的訪問，攻擊者可以提升帳戶內(nèi)的權(quán)限并獲得完全的管理權(quán)限。

“我們確認我們將能夠訪問其他 AWS Glue 客戶擁有的數(shù)據(jù)，” Orca 研究員 Yanir Tsarimi 在一篇文章中說。

AWS 在一份聲明中表示，Glue 客戶不需要更新系統(tǒng)，并強調(diào)該漏洞不會影響不使用 Glue 的 AWS 客戶。

“利用 AWS Glue 功能，研究人員獲得了特定于服務本身的憑證，AWS 內(nèi)部的錯誤配置允許研究人員將這些憑證用作 AWS Glue 服務，” AWS 說。

“這不可能被用來影響不使用 AWS Glue 服務的客戶。”

此外，AWS 表示，它審計 Glue 日志可追溯到2017 年推出，并確認自那時以來沒有客戶數(shù)據(jù)受到該漏洞的影響。

“當報告此問題時，AWS 立即采取行動糾正此問題。已經(jīng)對追溯到服務啟動的日志進行了分析，我們最終確定與此問題相關的唯一活動是研究人員擁有的賬戶之間的活動，”AWS說。

“沒有其他客戶的賬戶受到影響。AWS Glue 在客戶賬戶中采取的所有操作都記錄在 CloudTrail 記錄中，客戶可以控制和查看。”

Orca在 AWS中發(fā)現(xiàn)了第二個漏洞，該漏洞允許攻擊者破壞 CloudFormation 中的服務器，讓它們作為 AWS 基礎設施服務運行。AWS 客戶可以使用 CloudFormation 來預置和管理云資源。
該公司發(fā)現(xiàn)了一個 XML 外部實體注入 (XXE) 漏洞，該漏洞允許它代表服務器讀取文件并執(zhí)行 Web 請求。根據(jù) Orca 的說法，攻擊者可以利用該漏洞來獲得“對 AWS 中任何資源的特權(quán)訪問”。

據(jù) Orca 稱，AWS 也修復了這個缺陷。

【51CTO譯稿，合作站點轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】